Datenschutzrechtliche Aspekte beim Versand von Recallkarten

Recallkarten bieten eine beliebte Möglichkeit, um die Patienten an den nächsten anstehenden Nachsorge oder Prophylaxetermin in der Zahnarztpraxis zu erinnern. Sie können entweder selbst erstellt oder in bei uns bestellt werden. Auch der Versand ist auf vielen Wegen und in diversen Formaten möglich. Häufig entscheiden sich Zahnarztpraxen für die Versendung per Postkarte, alternativ werden auch geschlossene Briefe mit den Erinnerungskarten an Patienten versendet oder die elektronische Übermittlung per E-Mail oder Messenger gewählt.

Mit den aktualisierten Vorschriften zum Datenschutz und neuen rechtlichen Regelungen zur IT-Sicherheit ist es ratsam, sich vor der Planung und Durchführung eines Recalls genau zu informieren und einige wichtige Punkte bezüglich der Verwendung von Adressdaten und der Auswahl des Versandweges zu beachten. Dabei gilt es besonders, die entsprechenden Paragrafen gemäß Datenschutz (DSGVO, BDSG), die neuen Regeln der IT-Sicherheit (SGB V, BSIG, KZBV-IT-Sicherheitsrichtlinie) und das Wettbewerbsrecht (UWG) zu befolgen.

Adressdaten beschaffen

Unproblematisch gestaltet sich die Durchführung eines Recalls, wenn eine Einwilligung des Patienten zur Kontaktaufnahme und Verwendung der Adressdaten vorliegt. In einer derartigen Einwilligung sollte die Verwendung der Daten für Recalls ausdrücklich erwähnt sein. Sie ist jedoch jederzeit widerruflich. Sollte ein Patient seine Einwilligung widerrufen, gilt der Widerruf automatisch für alle durchführbaren Wege des Recalls, es empfiehlt sich daher, dies entsprechend in der Patientendatei zu vermerken, um eine automatische Erinnerung und eventuelle rechtliche Folgen zu vermeiden. Weniger eindeutig ist die Situation hingegen bei der Verwendung von Bestandsdaten aus der Patientenkartei ohne vorliegende Einwilligung der zu kontaktierenden Patienten. In einem Gewerbebetrieb wäre eine auf dieser Grundlage versendete Recallkarte gestützt auf Art. 6 DSGVO als Kundenpflegeschreiben basierend auf einem berechtigten Interesse zu werten.

Da beim Versand von Recalls jedoch ein Zusammenhang mit einer medizinischen Dienstleistung besteht, könnte es sich um die Verarbeitung von Gesundheitsdaten handeln, welche sich rechtlich auch nach Art. 9 DSGVO richtet. Ein sogenanntes „berechtigtes Interesse“, welches eine Gestattung der Verwendung der Daten voraussetzt, weil die entsprechende Handlung, in diesem Fall die Erinnerung an einen Zahnarzttermin, im Interesse des Patienten ist, kennt Art. 9 nicht, und ob auf Art. 6 zurückgegriffen werden kann, ist unklar. Art. 9 Abs. 2 lit. h DSGVO erlaubt allerdings die Datenverarbeitung zur Gesundheitsvorsorge, sodass sich ein Recall darüber rechtfertigen lassen könnte. Es wird im Zuge dieser Ausführungen deutlich, dass die Rechtslage hier aktuell noch ungeklärt ist. „In praktischer Hinsicht sollte der Gesundheitsvorsorgeaspekt im Text des Recalls hervorgehoben werden. Falls der Recall einmal Gegenstand einer Auseinandersetzung vor einer Behörde oder einem Gericht würde, ließe sich durch den Verweis auf diesen Text die Argumentationsbasis verbessern.

Auf Leitentscheidungen kann derzeit leider nicht Bezug genommen werden“, führt der Hamburger Rechtsanwalt Alexander Schmalenberger von der Kanzlei Dr. Matzen und Partner aus. Des Weiteren gilt es, die ab 1.4.2021 Stück für Stück in Kraft tretenden neuen Regeln zur IT-Sicherheit (§ 75c SGB V in Verbindung mit der KZBV-RL) zu beachten. Diese regeln in technischer Hinsicht im Sinne von Art. 32 DSGVO die technischen Voraussetzungen der Verarbeitung der Adressdaten. So dürfen diese nicht auf jedem beliebigen Endgerät und nicht mit jedem beliebigen Betriebssystem oder Programm verarbeitet werden. Untersagt wird zum Beispiel faktisch Windows 10, außer es wird die Enterprise-Version verwendet. Zudem soll auch Office 365 faktisch demnächst von der gestatteten Nutzung augeschlossen werden.

Versandweg wählen

Die am häufigsten für Recallkarten gewählte Versandoption ist nach wie vor die Postkarte. Diese ist jedoch für jede Person lesbar. Personenbezogene Daten müssen den Vorschriften entsprechend mit angemessenen technischen Maßnahmen geschützt werden. Hier gilt es, die für die Durchführung der notwendigen Schutzmaßnahmen entstehenden Kosten gegen die Gefahr abzuwägen, dass die Informationen öffentlich werden. Da Postkarten jeglichen Schutz entbehren, könnte ein Verstoß gegen Art. 32 DSGVO vorliegen. Zu empfehlen wäre folglich der Versand als Verschluss-Recallkarte, also einer Klappkarte, welche die sensiblen Gesundheitsdaten vor Außenstehende schützt. Die Mehrkosten dieser Variante würde beide Parteien rechtlich schützen. Recalls, welche auf elektronischem Wege, also per Telefon, E-Mail, Fax, SMS, Messenger usw. an einen Termin erinnern, müssen ebenfalls gemäß Art. 32 DSGVO technisch abgesichert werden und sind gemäß § 7 Abs. 2 UWG nur mit einer Einwilligung zulässig.

Des Weiteren gilt es wieder zu bedenken, dass die Recalls nicht von jedem beliebigen Endgerät und jedem beliebigen Übertragungsweg versandt werden dürfen. Die Richtlinie der KZBV lässt die Interpretation zu, dass der Versand über Messengerdienste nicht gestattet ist. Ratsam ist es in jedem Fall, abgesehen von Terminerinnerung und ggf. -vereinbarung, kein weiteres Material in Chats auszutauschen. Entscheiden sich Praxisinhaber dazu, ein Subunternehmen zur Durchführung des Recalls einzusetzen, ist es unabhängig von der gewählten Versandart wichtig, mit diesem eine Auftragsverarbeitungsvereinbarung abzuschließen. Ratsam wäre es zudem, den Auftragnehmer zur Einhaltung des § 75c SGB V in Verbindung mit der KZBV-RL1 zu verpflichten, auch wenn dessen Regelungen nur für die Geräte in der Praxis gelten. Wörtlich betrachtet, könnte die Anwendung der Richtlinie die Verlagerung der Datenverarbeitung aus den Praxisräumen hinaus sogar untersagen, was die Einschaltung eines Dienstleisters unmöglich machen würde. Es ist aber anzunehmen, dass dieses Problem bei der Erstellung der Richtlinie nicht erkannt worden ist und die Richtlinie daher entsprechend einschränkend ausgelegt werden kann.

Mit freundlicher Genehmigung der OEMUS MEDIA AG

Beitrag erschienen in: ZWP Zahnarzt Wirtschaft Praxis, Ausgabe 4-2021